Flying Tulip a introduit un coupe-circuit pour ralentir ou mettre en file d'attente les retraits alors que les pertes DeFi ont augmenté en avril suite à une série d'exploits majeurs.
Selon la documentation officielle, le dispositif de sécurité est conçu pour limiter la rapidité avec laquelle les fonds peuvent quitter le protocole lorsque la demande de retrait dépasse la capacité, donnant ainsi à l'équipe le temps d'examiner toute activité inhabituelle et de contenir les dommages potentiels. Le mécanisme intervient pendant les périodes de sorties de fonds anormales, plafonnant le rythme auquel les actifs peuvent être retirés dans le pire des scénarios.
Dans ses différents produits, le système ne se comporte pas de la même manière. Pour le produit Perpetual PUT, qui utilise la première version, les tentatives de retrait peuvent échouer et devront être retentées ultérieurement.
Pour son actif stable et sa monnaie de règlement ftUSD, la deuxième version met en file d'attente les demandes de retrait, permettant aux utilisateurs de réclamer des fonds après un délai plutôt que de faire face à un rejet pur et simple. Une page d'état dédiée permet aux utilisateurs de suivre le fonctionnement du coupe-circuit à tout moment.
Conçue avec un principe de « fail-open », la fonctionnalité maintient les transactions en mouvement même si la couche de sécurité elle-même fonctionne mal, tout en ralentissant les sorties de fonds anormales au lieu de les bloquer entièrement.
Les appels de l'industrie à la mise en œuvre de coupe-circuits se sont multipliés ces derniers mois.
De récents incidents ont attiré l'attention sur des risques qui vont au-delà des vulnérabilités de code, les défaillances opérationnelles occupant une place centrale. Les faiblesses liées aux configurations multisig, aux configurations d'infrastructure et à la gestion des clés ont été examinées de près, les attaquants ayant trouvé des moyens de contourner les défenses traditionnelles des contrats intelligents.
Selon la société de sécurité blockchain CertiK, les pertes totales en DeFi ont dépassé les 600 millions de dollars rien qu'au cours des premiers jours d'avril.
Deux incidents ont représenté la quasi-totalité des pertes. Le 2 avril, le protocole Drift a subi un exploit estimé à environ 280 millions de dollars. Des semaines plus tard, le 19 avril, la plateforme de restaking liquide Kelp a perdu environ 293 millions de dollars lors d'une autre attaque. Les retombées de l'incident de Kelp ont incité Aave à geler les marchés rsETH sur ses déploiements V3 et V4.
